Hirokazu Sasamoto, Nicolas Christin, Eiji Hayashi:
Undercover: Authentication Usable in Front of Prying Eyes,
Conf. on Human Factors in Computing Systems (CHI 08), pp.183-192, 2008
ACM Digital Library
認証における覗き見対策としてtactile(触覚)による情報伝達を応用したシステムを提案し、ユーザ評価を実施したという論文.
User authentication systems that are resilient to observation attacks.ですね
以下は走り書き
■ Abstract
- 人間の「複数の感覚入力を同時に処理できる」という能力を応用
- Prototypeを実装して実験
- 画像認証による手法よりもよい結果が得られた
- 設計と評価からobservation-resilientな認証システムの設計要素を導き出した
■ Introduction
- ATMでお金を引き出すときの素朴な疑問
-- 監視カメラは本物? なぜ自分の後ろに人がいるのだろう、覗かれる可能性があるじゃん.このATMは本物?
- 覗き見攻撃(Observation attack)の脅威は現実的に大きい.
- セキュリティシステムへの攻撃ではなく、ユーザを攻撃(振る舞いを観察)点が異なる
- usability と securityの問題: 正規ユーザは常に認証に成功できるべきであり(Usability)、攻撃者は決して認証に成功できない(Security)ようにしなければならない
- この実現は極めて困難 [5]
- 生体認証(Biometric authentication)はUsabilityは高いが、覗き見攻撃には脆弱.偽端末による生体情報奪取、生体情報の複製
- キーアイデアは、少なくとも認証行為の一部を観察困難または不可能にする
- 2つのセンサー刺激を同時に送ることでそれを実現する.
- Challenge & Response認証において、Challengeを2つに分割してユーザに提供、そのうちの1つを視覚的に観察困難にする
- tactileとvisual signalsの組み合わせによる安全性確保を可能に
- 画像認証 + Trackballによる刺激による回答値のmapping.Trackballはユーザの手で覆われるので観察困難
- 単なる覗き見攻撃だけでなく、偽端末、スパイウェアに対する安全性も確保可能に (こっそり情報を記録しようとする種類の攻撃すべてに対する安全性)
■ Related Works
- zero knowledge proof systems [11]
- cognitive trapdoor by Roth et al. [19]
- 画像認証の応用[16,23,24]
- 視線追跡によるパスワード入力[14]
- finger pressureによる入力[15]
- 提案手法ではauthentication challengeを隠す (question - answerのやりとりのうち、questionを観察困難にする)
■ Objectives
■ Security objectives
- 覗き見攻撃に対する安全性を向上し、他の攻撃にも同等の安全性を確保しなければならない
- No unauthorized access: 偶然による認証成功率は既存の認証と同等レベルであるべき.4桁PINと同等の安全性を確保
- Resilience to remote observation: ビデオ等により遠隔から覗き見られても、認証試行複数回の記録からパスワードが漏洩しないこと
- Resilience to internal observation: keyboardやmouseの入力、画面表示が攻撃者にわたったとしてもパスワード情報が漏洩しないこと
- Resilience to repeated observations: 長期間にわたり覗き見攻撃が行われ、その結果、多数の認証行為記録が攻撃者にわたったとしても、パスワード情報が漏洩しないこと
- Resilience to social engineering: ユーザが誤って自身のパスワード情報を明かしてしまわないこと
- これらの要素は認証システムに依存した要件ではない.どんな認証にでも必要とされる要件
■ Usability objectives
- 広範なユーザに受けいられるため、以下に挙げるようなUsability制約を満たすことが必要
- Low error rate: 正規ユーザが認証に失敗することは"rare"でなければならない.パスワードの記憶は容易であり、直感的に使えること
- Fast authentication: 一定時間でほとんどのユーザが認証できること.本論文では1分を上限と設定
- Rapid Training: 特別な訓練なしに使えるようになること.5分ぐらいでその使い方が理解できる程度の直感性があるべき
- Physically safe: 認証によってユーザに物理的な害がないこと.つまりとがった部品などを認証に使用しないこと.また認証によりわずかであっても不快感を感じないこと
■ Design
- Challenge & Responseを利用し、覗き見攻撃に対する安全性確保のためResponseを隠すのではなくChallengeを隠す
- Challengeすべてを隠蔽するのは困難.なのでChallengeを2つに分割し、1つをVisual Channelで、そしてもう1つをhidden channelでユーザに送付する.
- 例) あなたのパスワードは'd'を含む? と画面に表示(Visual Channel)しながら、音声で"嘘をつけ", "本当のことを言え"とささやく(hidden channel)
■ Visible and hidden challenges
- hidden channelが完全に安全ならば、それはOne-Time padと同等.つまりそれを破ることが不可能なのは数学的に証明される[21].
- それは 1) 攻撃者が奪取不能 2) hidden channelで送られる情報は完全にランダム. となる
- だが、それは困難だろう
- 本論文の注力点は、どうやってhidden channelを構築するかとする
- 聴覚によるhidden channelはビデオ撮影に対して脆弱になる可能性あり (parabolic microphone)
- 視覚的方法によるhidden channelの構築も似たような問題を抱える
- 触覚情報を用いる.観察不能化は可能.ただし、物理的に接触する必要がある
- 画像認証をvisual channelに使用: 理由は二つ 1) 秘密情報の記憶が容易.2) 偽端末の実現が困難.認証して欲しいユーザのすべての画像を用意しなければならないため.
- visual & tacticleによる組み合わせはユーザ操作において直感的なものとなること
■ Design paramters
- 触覚情報は、視覚または視聴覚情報を補強しうる[3,4,8]
- 分割されて伝えられた情報の復元の難しさは、触覚情報により通知する情報の量に依存
- Trade-offの存在: ユーザの記憶可能量とユーザの処理能力
- 触覚情報が伝える情報量が少なければ、実装は容易になり、認証時の情報復元(再構築)処理も簡単になる.しかし、触覚情報が伝える情報が少なければ、安全性確保のためユーザはより多くの情報を記憶しなければならなくなる.たとえば、触覚情報が2値しか伝えないとした場合、4桁暗証番号と同等の安全性を確保するためには、少なくとも14個の情報を記憶する必要がある.しかし触覚情報が5つの値を伝えるならば、ユーザが記憶すべき情報は6個となる.しかし5つの値を伝える触覚情報デバイスの実装は複雑になり、ユーザの情報復元処理も複雑化する.
■ Implementation
- いくつか試作をし、数人で実験をしながらプロトタイプ作成を進めていった
■ Low fidelity tests
- 2つの点に関して実験をした
-- 1. どんなhaptic deviceがよいのか?
-- 2. haptic deviceが実装する情報ちゃんねるの大きさ(?)
- Determining the type of haptic device
- 2つのデバイスで速度と正確さに関する比較を行った
- 1つめのデバイス.2つのPin.画面の指示に従ってどちらかを押す
- 2つめは回転するシリンダー.どちらに回転しているかで2値の情報伝達
- 4人の被験者で実験.30-50代、2人はIT技術に関する技術あり.それぞれ7回試行
- 若い人の方が年配の人より正確で早く認証できた
- Cylinderの回転の方がよりよい結果となった
- Pinの方は数回やるうちに感覚がなくなる
- 被験者の一人は画面と触覚の奏法を同時に集中するのは難しいと指摘した
- 同様の実験を4つのPinによるものとTrackballによるものでも実施
- やはり摩擦による情報伝達の方がよい結果になった
- Dimensioning the Tactile channel
- tactile channelでどれだけの情報を伝えるか? 多くの情報を伝えられれば、それだけ記憶すべき情報を減らすことができ、結果としてエラー率を低くすることが可能になるはず
- Cylinderによる2値とTrackballによる4値の比較
- 前期の実験に参加していない3人で実験.30-40代.うち1人はIT知識なし.
- 4値の場合は2値の場合の半分ほどの時間で認証可能という結果に! 複雑さが増しているように見えるが、それにより認証時間が長くなるどころか短くなった
- エラー率はどちらも変わらず
- vibrateも5番目の選択肢として考えたが、大した改善効果は見られなかった
■ Undercover prototype
- Trackballを使用、PCにUSB接続.動きの制御はLego Mindstorm NXTを利用
- 5つの選択ボタンと1つのキャンセルボタン
- 現在の実装の大きさはそこそこの大きさ.main targetは銀行のATMなどで空間的制約は厳しくない.もちろん小型化はピエゾ素子などを使用することで可能であろう
- 画像認証をvisual challengeとして利用.4つの写真と"なし"回答
- Trackballは5値をユーザに提供(四方向と振動)
- ballの表面にコルクを貼った
- ボタンは数字だけでなく色付けもすることで操作ミスを回避できるようにした
■ Evaluation
- 被験者は38人 (学生4人、行政関係者34人).20代から50代で平均は30代
- 全員がITに関する知識はあるがエキスパートではない
- この38人は事前の評価実験には参加していない
■ Procedure
- 被験者は5枚の個人所有の写真を持ち寄ると同時に、4桁暗証番号も決定する
- training phase, control phase, 2つのauthentication phaseによる実験
- 独立した部屋で実施、2つのビデオカメラで行為を撮影.実験中はその部屋は被験者のみ
- 実験時間は30分,うちtraining phaseが5分
- カメラは手と目の動きを記録、あわせて話し声も記録.被験者には撮影するということ以外は話していない
- 部屋には音楽を流していた.モーター音を消し、trackballの認知に偏りがかかることを避けるため
- Traning phase:
- 写真による認証を行う前に認証方法をシンボルを使って確認
- Authentication phase:
- 2種類の画像認証で実施.1つは写真そのまま、もう1つは油絵モザイク処理した写真で実施.
- 油絵モザイク処理はsocial engineering attackを困難にする => Security向上
- 評価点は2点
- 1. 認知負荷はどうなるか?
- 2. 視覚情報と触覚情報の同時処理のエラー率と認証時間
- Control phase
- 4桁暗証番号認証との比較
- 比較対象としての基準値として取得
- 疲労効果を減らすため、2つのauthentication phaseとcontrol phaseの実施順はランダムにした
■ Usability evaluation
- 測定対象はエラー率と認証時間
- 認証時間(図10): 平均認証時間は自分たちで決めた制約である1分は下回った.しかし1分を超える被験者もいた
- 特に油絵モザイクによる認証は時間がかかった
- 4桁暗証番号は平均3.2秒
- 写真をそのまま使った方が油絵モザイクのものよりも簡単だということは明らか
- 事後に被験者に対して認証時間を5段階で聞いて見た(1: short - 5: longer).17人が4,5の評価、18人が1,2,3の評価.そして3人が回答しなかった.
- 4,5の評価をしたユーザのうちの15人が認証は15秒以内に完了できるべきだと回答
- 認証時間と年齢の関係(図11).4桁認証の場合はほとんど差はない.が、Undercoverでは年齢にしたがい時間が長くなる傾向が明らか.視覚情報と触覚情報の組み合わせ処理能力が年齢とともに遅くなると思われる.似たような効果が[20]にも指摘されている.また触覚認知のlossもあるようである.
- IT経験は認証時間と関係ないようだ
- エラー率(表3): Undercoverは7 session, PINは4 session.
- challenge単位での失敗とsession単位のでの失敗とで分割評価
- 結果から言えることは、1認証セッションあたり7 challengeという設定は、まだchallenge数が多すぎるのかもしれない
- ユーザあたりのエラー数(図12).
- こうやってみると、認証に失敗しているのはごく一部という見方もできる.初めての体験ということも考慮するとまだ改善の余地はあると考える
- エラー率と年齢の関係は省く.ITの経験は無関係のようだ.
■ Security evaluation
- ビデオ撮影の記録から以下の質問への回答を考えた
- 1. 何が覗き見攻撃を可能にするのか (評価システムにおいて)
- 2. 何が覗き見攻撃の成功率を高めるような効果をもたらすのか?
- PIN認証はすべての暗証番号をビデオ記録から知ることができた.というわけで覗き見攻撃に対して安全ではないねということを確認
- 片方の手で入力操作をしている手を隠すという方法やキーパッドを覆う方法もあるが、利便性は低下. また"おおい"の中に小型カメラを仕込む可能性も否定できない
- Trackballを完全に隠せていない被験者が少なくなかった.よってTrackballの動きを推測可能.が、これは容易に修正可能.おおいを作ればよい
- また多数の被験者が、以下の3つの方法で無意識に情報を漏洩させていた
- 1. 自分のパスワード画像や数値mapを指差していた
- 2. 触覚感覚を改善させるために手を動かしていた.それによりtrackballの動きが発覚してしまった
- 3. トラックボールの動きやパスワード画像のことを独り言として話してしまっていた
- 38人中9人が情報を漏らしていた(表4)
- 一番多いのはtrackballの動きを数字にmappingするmapを指差ししてしまうことだった
- が、その正規確率は依然として低いと言える
- エラー率と情報漏洩との関係も見いだせなかった.つまり情報を漏らすことでエラー率が低くなるというようなことはなかった
- ということは利便性を下げずに情報漏洩をしないようにすることは可能であろう (ex. 教育)
■ Discussion and Conclusions
- responseを隠すのではなく、challengeを隠すことによる覗き見攻撃への安全性確保
- 視覚情報と触覚情報の組み合わせ処理という人間の能力を利用
- 装置は小型化可能
- 結果として覗き見攻撃に対する安全性向上効果はある.またさらなる改善効果も期待
- 認証時間は画像認証の認証時間と同等レベル
- エラー率は無視できないが、改善見込みはある.慣れによる効果も期待できるであろう
- 将来的に必要となるであろう設計ガイドラインを導けた
- security上の問題として大きいのは無意識のうちにユーザが秘密を暴露してしまうこと
- 情報漏洩のcovert channelの存在.
- が、Undercoverの場合はその多くがシステムに起因する者であり、それゆえに人的要因によるものよりもその改善が容易である点
- 複数の認識入力による人間の処理能力はこの論文の内容以外にもSecurity向けのシステムとして使えるかもしれない
□ 気になる参考文献
12,14,15,16,19,23,24
- 複数の入力情報を組み合わせて処理できるという人間の能力をうまく使えば、よりよいSecurity Applicationが作れるのでは? というのは興味を引かれる示唆ですね.でも安易に考えられるのは音、匂い、触覚ですが、音はビデオで撮影されてしまうので覗き見攻撃対策には使えないし、たしかそういう挑戦をしたがいい結果が出なかったという論文があった気がする.匂いは分解能もそうだし、個人差がありそうだし、なによりそれって使いたい? という疑問が... はい、脱線話でした.